DonsoftST
Bienvenido/a al Foro DonsoftST creado con el propósito de ayudar e informar acerca del mundo de la informática referentes a prevención ante vulnerabilidades que pongan en riesgo la seguridad de nuestro equipo, solucionar problemas a causa de infecciones por malwares, software ó hardware... etc; también podrás debatir temas y aprender a proteger nuestros equipos ante amenazas con guías o tutoriales; eso y más...!

* No te olvides de leer las Norma del Foro.
* ¿Se te hace difícil entender el foro? Entrar al Centro de Ayuda.
Importante: Por el momento el registro en el foro cuenta sin activación, es decir, no es necesario esperar que llegue un e-mail de activación a tu correo para poder acceder.
Simplemente te registras e inmediatamente te podrás conectar con tus datos registrados y listo para comenzar a participar.
¡ Que disfrutés tu experiencia en nuestro foro, tu foro !


Unirse al foro, es rápido y fácil

DonsoftST
Bienvenido/a al Foro DonsoftST creado con el propósito de ayudar e informar acerca del mundo de la informática referentes a prevención ante vulnerabilidades que pongan en riesgo la seguridad de nuestro equipo, solucionar problemas a causa de infecciones por malwares, software ó hardware... etc; también podrás debatir temas y aprender a proteger nuestros equipos ante amenazas con guías o tutoriales; eso y más...!

* No te olvides de leer las Norma del Foro.
* ¿Se te hace difícil entender el foro? Entrar al Centro de Ayuda.
Importante: Por el momento el registro en el foro cuenta sin activación, es decir, no es necesario esperar que llegue un e-mail de activación a tu correo para poder acceder.
Simplemente te registras e inmediatamente te podrás conectar con tus datos registrados y listo para comenzar a participar.
¡ Que disfrutés tu experiencia en nuestro foro, tu foro !
DonsoftST
¿Quieres reaccionar a este mensaje? Regístrate en el foro con unos pocos clics o inicia sesión para continuar.

Múltiples vulnerabilidades en TikTok

Ir abajo

03022021

Mensaje 

Información Múltiples vulnerabilidades en TikTok




Múltiples vulnerabilidades en TikTok TikT-image-1

Disponible en más de 150 mercados, utilizado en 75 idiomas a nivel mundial y con más de mil millones de usuarios, TikTok definitivamente ha descifrado el código del término “popularidad” en todo el mundo. A partir de octubre de 2019, TikTok es una de las aplicaciones más descargadas del mundo.
La aplicación es utilizada principalmente por adolescentes y niños que usan esta aplicación para crear clips de música cortos, en su mayoría clips de sincronización de labios de 3 a 15 segundos y videos cortos en bucle de 3 a 60 segundos. La aplicación permite a los jóvenes compartir, guardar y mantener videos privados (y a veces muy sensibles) de ellos mismos y sus seres queridos.
En los últimos meses, hemos visto evidencia de los riesgos potenciales incrustados en la aplicación TikTok, y esto también ha sido reconocido por otros en la industria. Según USA Today , la Marina de los Estados Unidos prohibió el uso de la aplicación para su personal, mientras que en un artículo de The Guardian , el demócrata Chuck Schumer dice que la “ aplicación TikTok presenta un riesgo potencial para la seguridad nacional ”. Además, el New York Times ha publicado que TikTok está bajo revisión de seguridad nacional. Más recientemente, CNet.com informó que el Ejército de EE. UU. Prohibió el uso de TikTok en teléfonos del gobierno, revirtiendo su política sobre la aplicación de entretenimiento, que recientemente utilizó como herramienta de reclutamiento.
En los últimos meses, los equipos de Check Point Research descubrieron múltiples vulnerabilidades dentro de la aplicación TikTok. Las vulnerabilidades descritas en esta investigación permiten a los atacantes hacer lo siguiente:


  • Consiga cuentas de TikTok y manipule su contenido
  • Eliminar videos
  • Subir videos no autorizados
  • Hacer públicos los videos privados "ocultos"
  • Revelar información personal guardada en la cuenta, como direcciones de correo electrónico privadas

 
Check Point Research informó a los desarrolladores de TikTok sobre las vulnerabilidades expuestas en esta investigación y se implementó una solución responsablemente para garantizar que sus usuarios puedan continuar usando la aplicación TikTok de manera segura.

Video de demostración del ataque:


 Detalles técnicos


Suplantación de enlaces SMS
Durante nuestra investigación, descubrimos que es posible enviar un mensaje SMS a cualquier número de teléfono en nombre de TikTok.
En el sitio principal de TikTok : www.tiktok.com , hay una funcionalidad que permite a los usuarios enviarse un mensaje SMS a sí mismos para descargar la aplicación:

Múltiples vulnerabilidades en TikTok Tikt-image-2

Los atacantes que deseen enviar un mensaje SMS a una víctima pueden capturar la solicitud HTTP utilizando una herramienta de proxy (como Burp Suite). El parámetro Móvil contiene el número de teléfono al que se enviará el SMS y el parámetro download_url es el enlace que aparecerá en el mensaje SMS:

Múltiples vulnerabilidades en TikTok TikT-image-3

Mensaje SMS legítimo:

Múltiples vulnerabilidades en TikTok TikT-image-4.png
 
Cambiar el parámetro download_url resultará en un mensaje SMS falsificado que contendrá el enlace que el atacante elige escribir.
La siguiente captura de pantalla muestra un mensaje SMS falsificado que contiene un enlace malicioso. Para fines de demostración, utilizamos el siguiente enlace: https://attacker.com :


Múltiples vulnerabilidades en TikTok TikT-image-5

Mensaje SMS falso que contiene el enlace https://attacker.com :

Múltiples vulnerabilidades en TikTok TikT-image-6

Los enlaces profundos permiten las intenciones de los atacantes
Mientras aplicaba ingeniería inversa a la aplicación TikTok en un dispositivo móvil Android, descubrimos que tiene una funcionalidad de "enlaces profundos", lo que hace posible invocar intents en la aplicación a través de un enlace del navegador.
Los intents que escucha la aplicación son el esquema "https://m.tiktok.com" y el esquema personalizado "musicalmente: //":

Múltiples vulnerabilidades en TikTok TikT-image-7

Los atacantes que utilizan la vulnerabilidad de suplantación de enlaces SMS pueden enviar un enlace personalizado que contenga los esquemas mencionados anteriormente. Dado que el enlace personalizado contendrá el parámetro " url ", la aplicación móvil abrirá una ventana de vista web (navegador) e irá a la página web escrita en el parámetro de la aplicación móvil. Cualquier solicitud se enviará con las cookies de los usuarios .

Para fines de demostración, usamos el siguiente enlace:

Múltiples vulnerabilidades en TikTok TikT-image-8.png

La siguiente captura de pantalla demuestra el análisis del enlace profundo:

Múltiples vulnerabilidades en TikTok TikT-image-9.png

La aplicación móvil abre una ventana de vista web (navegador) y va a https://10.10.10.113:8000 - un servidor web controlado por el atacante -
haciendo posible que los atacantes envíen solicitudes en nombre del usuario.
Redirección abierta con omisión de expresiones regulares de dominio
En el curso de nuestra investigación, descubrimos que es posible enviar un enlace malicioso a una víctima que redirigirá a la víctima a un sitio web malicioso. La redirección abre la posibilidad de realizar ataques Cross-Site Scripting (XSS) , Cross-Site Request Forgery (CSRF) y Sensitive Data Exposure sin el consentimiento del usuario.
La redirección ocurre cuando un atacante envía un enlace de inicio de sesión legítimo derivado del dominio de Tiktok: https://login.tiktok.com .
Descubrimos que la solicitud de inicio de sesión puede contener un parámetro HTTP GET redirect_url , un ejemplo de una solicitud de inicio de sesión que redirigirá al usuario después de un intento de inicio de sesión exitoso.
https://login.tiktok.com/?redirect_url=https://www.tiktok.com
El parámetro de redirección redirigirá a la víctima a las páginas web del dominio de tiktok de acuerdo con la siguiente expresión regular de validación (solo del lado del cliente):

Múltiples vulnerabilidades en TikTok TikT-image-10

Múltiples vulnerabilidades en TikTok TikT-image-11

Se encontró que el proceso de redirección es vulnerable ya que la expresión regular de validación no está validando el valor del parámetro redirect_url correctamente. Más bien, la expresión regular valida el valor del parámetro que termina en tiktok.com. haciendo posible realizar una redirección a cualquier cosa con tiktok.com.
Con fines de demostración, un atacante puede redirigir a los usuarios al sitio web https://www.attacker-tiktok.com y realizar más ataques como se mencionó anteriormente.

Múltiples vulnerabilidades en TikTok TikT-image-12

Secuencias de comandos entre sitios (XSS)
A medida que continuaba nuestra investigación, descubrimos que el subdominio de Tiktok https://ads.tiktok.com es vulnerable a los ataques XSS, un tipo de ataque en el que se inyectan scripts maliciosos en sitios web que de otro modo serían benignos y confiables.
El subdominio de anuncios contiene un centro de ayuda donde puede encontrar información sobre cómo crear y publicar anuncios en Tiktok. El centro de ayuda, disponible en https://ads.tiktok.com/help/ , contiene una vulnerabilidad de búsqueda.
El punto de inyección del ataque XSS se encontró en la funcionalidad de búsqueda. Cuando un atacante intenta realizar una búsqueda, se realiza una solicitud HTTP GET al servidor de aplicaciones web con un parámetro q y la cadena buscada como su valor.
La siguiente captura de pantalla muestra una búsqueda legítima realizada por el atacante, buscando la palabra "pwned":

https://ads.tiktok.com/help/search?q=pwned


Múltiples vulnerabilidades en TikTok TikT-image-13

El atacante intenta inyectar código JavaScript en el parámetro q (el valor inyectado está codificado en URL).
Para fines de demostración, hemos abierto una ventana de alerta con el contenido "xss":
https://ads.tiktok.com/help/search?q=%22%3Cscript%20src%20%3Djavascript%3Aalert%28%29%3E

Múltiples vulnerabilidades en TikTok TikT-image-14

Toma de control del atacante: realizar acciones en nombre del usuario
Falsificación de solicitudes entre sitios (CSRF)
En este punto, teníamos dos flujos diferentes en los que podíamos ejecutar código JavaScript en nombre de cualquier víctima que hiciera clic en el enlace que enviamos (como se explica en Suplantación de enlaces de SMS ): XSS y redirección abierta (redirigiendo al usuario a un sitio web malicioso que ejecutará Código JavaScript y realizar solicitudes a Tiktok con las cookies de las víctimas).
Con la falta de un mecanismo de falsificación de solicitudes anti-Cross-Site, nos dimos cuenta de que podíamos ejecutar código JavaScript y realizar acciones en nombre de la víctima, sin su consentimiento.
Eliminando video
Se puede eliminar un video a través de una solicitud HTTP GET a https://api-t.tiktok.com/aweme/v1/aweme/delete/?aweme_id=video_id
Usando la ejecución de JavaScript como se mencionó anteriormente, podríamos enviar la solicitud HTTP GET con el aweme_id deseado (ID de video) del video que el atacante desea eliminar.
La siguiente captura de pantalla muestra una solicitud de eliminación de la identificación de video 6755373615039991045:

Múltiples vulnerabilidades en TikTok TikT-image-15
La respuesta del servidor web que indica que el video se eliminó correctamente:

Múltiples vulnerabilidades en TikTok TikT-image-16

Crear video
Para crear un video en el feed de la víctima, el atacante primero tiene que enviar una solicitud para crear un video en su propio feed. Las solicitudes de creación de video generan una nueva identificación de video. En este punto, el atacante copia la solicitud de creación de video y la descarta.
En segundo lugar, utilizando la ejecución de JavaScript como se mencionó anteriormente, el atacante publica la solicitud de creación de video que copió y envía la solicitud HTTP POST en nombre de la víctima.
La siguiente captura de pantalla muestra una solicitud de creación de un video en el feed de las víctimas:

 Múltiples vulnerabilidades en TikTok TikT-image-17

La respuesta del servidor indica que el video se creó correctamente:

Múltiples vulnerabilidades en TikTok TikT-image-18

Conviértete en seguidor
Los atacantes que buscan convertirse en seguidores de la cuenta de una víctima envían una solicitud a la víctima y la víctima tiene que aprobar la solicitud.
Para aprobar la solicitud del seguidor, el atacante utiliza los métodos de ejecución de JavaScript descritos anteriormente y envía una solicitud de aprobación en nombre de la víctima.
Se envía la solicitud de aprobación y una solicitud HTTP POST a la siguiente ruta:
https://api-m.tiktok.com/aweme/v1/commit/follow/request/approve
La solicitud POST tiene un parámetro, from_user_id , que contiene la identificación del usuario que desea ser seguidor.
El atacante cambia el valor del parámetro from_user_id a su propia identificación y envía la solicitud al servidor de TikToks:


Múltiples vulnerabilidades en TikTok TikT-image-19

En este punto, el atacante se convierte en seguidor de las víctimas:

Múltiples vulnerabilidades en TikTok TikT-image-20

Cambiar un video privado a un video público
Para cambiar un video de modo privado a modo público, el atacante debe recuperar la identificación del video.

Es posible recuperar la identificación de video mientras el atacante es un seguidor de la víctima, como se explicó anteriormente.
Una vez que el atacante tiene una identificación de video de un video privado, él / ella puede cambiar la configuración de privacidad del video enviando una solicitud HTTP GET en nombre del usuario (usando la ejecución de JavaScript como se describe arriba):

https://api-m.tiktok.com/aweme/v1/aweme/modify/visibility/?aweme_id=video_id&type=1&aid=1233&mcc_mnc=42503

Tenga en cuenta que con " type = 1 " el video solicitado cambiará al modo público, mientras que " type = 2 " hará que un video se vuelva privado.
La siguiente captura de pantalla muestra una solicitud HTTP GET para cambiar la identificación de video 6755813399445261573 del modo privado al modo público:

Múltiples vulnerabilidades en TikTok TikT-image-21

La respuesta del servidor indica que el video se hizo público:

Múltiples vulnerabilidades en TikTok TikT-image-22

Exposición de datos sensibles

A medida que continuaba nuestra investigación, aprendimos que podíamos ejecutar código JavaScript utilizando XSS u otros métodos mencionados para recuperar información confidencial. Encontramos varias llamadas API en los subdominios https://api-t.tiktok.com y https://api-m.tiktok.com .
Realizar solicitudes a las API mencionadas anteriormente revelará información confidencial sobre el usuario, incluida la dirección de correo electrónico, información de pago, fechas de nacimiento y mucho más.
Al intentar utilizar las vulnerabilidades de ejecución de JavaScript descritas anteriormente, encontramos un problema: el mecanismo de intercambio de recursos de origen cruzado (CORS) y las restricciones de seguridad de la política del mismo origen (SOP).
Parece que los subdominios de la API permitirán que solo ciertos orígenes realicen la solicitud (por ejemplo: www.tiktok.com ). Por ejemplo, la siguiente captura de pantalla muestra una solicitud de API que se originó en https://cpr.checkpoint.com :

Múltiples vulnerabilidades en TikTok TikT-image-23

La respuesta fue bloqueada debido a las restricciones de seguridad:

Múltiples vulnerabilidades en TikTok TikT-image-24-2
 
Así que tuvimos que eludir de alguna manera los mecanismos de seguridad CORS y SOP para recuperar toda la información confidencial que estaba ahí fuera.
Descubrimos que Tiktok había implementado una devolución de llamada JSONP no convencional que proporciona un método para solicitar datos de servidores API sin restricciones CORS y SOP.
Eludir esos mecanismos de seguridad nos permitió robar toda la información confidencial de las víctimas al activar una solicitud AJAX a la devolución de llamada JSONP, lo que resultó en datos JSON envueltos por la función JavaScript.
La siguiente captura de pantalla muestra una solicitud AJAX para recuperar toda la información confidencial relacionada con la billetera de las víctimas. La solicitud contiene el parámetro de devolución de llamada y su valor es la función de JavaScript que se ejecutará ( myCallBackMethod ):

La siguiente captura de pantalla muestra los datos que contienen toda la información confidencial que se recupera de la API. Los datos confidenciales están infiltrados y podrían enviarse al servidor de los atacantes:

Múltiples vulnerabilidades en TikTok TikT-image-26

Múltiples vulnerabilidades en TikTok TikT-image-27-2

Conclusión

Los videos de TikTok son entretenidos. Han creado una gran tendencia, un estilo, incluso un género musical. Muchos de nosotros usamos la aplicación TikTok para compartir momentos agradables y recortar fragmentos de recuerdos divertidos en forma de videoclips cortos. Pero como algunos han experimentado, a menudo hay una línea muy fina entre los clips divertidos y los activos privados, incluso íntimos, que se ven comprometidos mientras confían en estar bajo la protección de las aplicaciones que usamos.
La investigación que se presenta aquí muestra los riesgos asociados con una de las aplicaciones sociales más populares y utilizadas en el mundo. Estos riesgos refuerzan la necesidad esencial de privacidad y seguridad de los datos en el mundo cibernético en el que vivimos. Las violaciones de datos se están convirtiendo en una epidemia. Este es un problema letal al que se enfrentan muchas organizaciones a nivel mundial simplemente porque los datos son omnipresentes y nos rodean. Nuestros datos se almacenan en varias redes y, dentro de ellos, nuestra información privada más valiosa. Es nuestra responsabilidad conjunta mantener nuestros datos a salvo de compromisos.
Don
Don
AdminFundador
AdminFundador

Masculino
El Salvador
Mensajes Mensajes : 56
Puntos Puntos : 298
Fecha de inscripción : 09/04/2010

https://www.donsoftst.com

Volver arriba Ir abajo

Compartir este artículo en : redditgoogle

 
Permisos de este foro:
No puedes responder a temas en este foro.